IT-sikkerhetsselskapet Symantec har de siste månedene nedlagt mye ressurser for å kartlegge så mye som mulig av Stuxnet-ormen. Ormen ble kjent i juli, og det ble etter hvert avdekket at den angrep kjernekraftverk i Iran. Den trekker veksler på så mye avansert funksjonalitet, og har et så avgrenset angrepsmål, at den trolig ikke stammer fra vanlig organisert kriminalitet, men fra etterretningsmiljøer med rik tilgang på fremragende kompetanse innen mange smale felt. Spor i koden peker mot Israel: Det kan være en avledning fra et annet land med egen interesse av å ramme Iran. Mistanke har vært rettet mot amerikansk etterretning.
Les også:
- [22.12.2011] Slakter sikkerheten i kritiske Siemens-system
- [14.11.2011] Duqu traff Irans atomanlegg
- [29.12.2010] Slik slåss Microsoft mot Stuxnet
- [15.12.2010] - Irans atomprogram satt to år tilbake
- [30.11.2010] Rykteflom om Stuxnet på svartebørs
- [30.11.2010] Bekrefter datasabotasje mot atomanlegg
- [24.11.2010] Oppklarende om Stuxnet-ormen
- [04.10.2010] Iran arresterer «spioner fra kyberrom»
- [30.09.2010] Hvem fører kyberkrig mot Iran?
- [27.09.2010] Orm herjer piratkopiert IT i kjernekraftverk
Fredag publiserte Symantec versjon 1.3 av sin Stuxnet Dossier (pdf, 64 sider). Rapporten utfylles fortløpende av meldinger på selskapets Stuxnet-blogg. Det nyeste innlegget, Stuxnet: A Breakthrough, bygger på en tilbakemelding fra en nederlandsk ekspert på prosessmoduler fra Profibus, som brukes i den løpende driften av blant annet sentrifuger som anriker uran.
Symantec skriver ikke rett ut at hensikten med Stuxnet er å sabotere atomprogrammet i Iran, men materialet de legger fram peker entydig i den retningen.
Stuxnet angriper programmerbare kontrollenheter i industrielle anlegg styrt av et Siemens-system, Simatic WinCC. Ormen har en mengde funksjoner som gjør den nærmest umulig å oppdage. Sabotasjen den utfører, er svært subtil: Ormen utløser feil som ikke kan spores tilbake til svikt i kontrollsystemet. Hensikten er altså å sabotere uten å flagge selve sabotasjen.
Anriking av uran krever sentrifuger som roterer i presise hastigheter over lengre tidsrom. Stuxnet er programmert til å variere innstillingene til frekvenskontrollerne som styrer sentrifugenes rotasjonshastighet. Det fører til feil som driftspersonalet har store problemer med å finne ut av.
Stuxnet-koden inneholder en rekke betingelser for å aktivere den saboterende koden. Blant dem er at frekvenskonvertererne som er koplet til kontrollerne skal drives i mellom 807 hertz og 1210 hertz, en innstilling som begrenser antall anvendelser sterkt. Ifølge Symantecs Stuxnet-blogg er frekvenskonverterere beregnet på høyere hastigheter enn 600 hertz underlagt amerikanske eksportbegrensninger, nettopp fordi dette er typisk for anriking av uran.
En annen betingelse er at det må være minst 31 frekvenskonverterere, og at disse må være stamme fra minst én av to produsenter, enten Fararo Paya med hovedkvarter i Irans hovedstad Teheran, eller det finske selskapet Vacon.
Når betingelsene er til stede, endres kontrollenhetenes kode slik at de varierer hastigheten på frekvenskonvertererne etter et mønster med varierende tidsintervaller. Det innebærer at motorene som styres, og som egentlig skal rotere i mellom 807 og 1210 hertz, i lange perioder veksler mellom 2 hertz, 1064 hertz og 1410 hertz. Med Stuxnet i et anlegg for å anrike uran, vil man altså oppleve at sentrifugene noen ganger roterer altfor sakte, andre ganger altfor fort.
Et stort flertall av de avdekkede Stuxnett-infeksjonene er i Iran. Iranske myndigheter har innrømmet dette, samtidig som de har avvist at det skal ha forekommet infeksjoner i atomanlegg.
To iranske atomanlegg har vært nevnt i forbindelse med Stuxnet: En ny reaktor i Bashehr, der uforutsette forsinkelser har gjort at den ennå ikke er i drift, og et anrikingsanlegg i Natanz, der vestlige eksperter frykter at anrikingen også kan ha et militært formål.
Les også:
- [22.12.2011] Slakter sikkerheten i kritiske Siemens-system
- [14.11.2011] Duqu traff Irans atomanlegg
- [29.12.2010] Slik slåss Microsoft mot Stuxnet
- [15.12.2010] - Irans atomprogram satt to år tilbake
- [30.11.2010] Rykteflom om Stuxnet på svartebørs
- [30.11.2010] Bekrefter datasabotasje mot atomanlegg
- [24.11.2010] Oppklarende om Stuxnet-ormen
- [04.10.2010] Iran arresterer «spioner fra kyberrom»
- [30.09.2010] Hvem fører kyberkrig mot Iran?
- [27.09.2010] Orm herjer piratkopiert IT i kjernekraftverk